微软遭遇网络攻击：SharePoint漏洞威胁上万家企业——彭博社

微软指控受中国政府支持的黑客利用其文档管理软件SharePoint的安全漏洞，针对全球企业和政府机构发起攻击活动。

在周二发布的博客文章中，该公司将"Linen Typhoon"和"Violet Typhoon"列为主要攻击组织。这些组织专门利用本地部署的SharePoint安装中的漏洞——与微软的云服务形成对比。微软表示，中国组织"Storm-2603"也利用了相同的漏洞。

该公司声明：“针对其他同样利用这些漏洞的攻击者的调查仍在进行中。鉴于这些攻击方法的快速传播，微软高度确信网络犯罪分子将继续将其纳入攻击手段。”

中国大使馆在一份声明中表示，中国坚决反对一切形式的网络攻击和网络犯罪。“同时，我们同样坚决反对在缺乏确凿证据的情况下抹黑他人，“声明称，“我们希望相关方在评估网络事件时秉持专业和负责任的态度，将结论建立在充分证据基础上——而非无端猜测和指控。”

其他网络安全公司也证实了利用这些漏洞发起的攻击——部分证据指向中国参与其中。据知情人士透露，欧洲和中东的政府系统遭到入侵。在美国，教育部、佛罗里达州税务局和罗德岛州议会等机构均成为攻击目标。

苏黎世联邦理工学院专门研究中国网络攻击的研究员欧金尼奥·贝宁卡萨表示，受害者的选择、攻击模式及其他特征均表明，这是一起由中国政府主导的间谍活动。

安全公司Eye Security监测到约60个组织的100多台服务器被入侵，包括沙特阿拉伯、越南、阿曼和阿拉伯联合酋长国等国的能源公司、咨询机构和大学。

美国安全公司CrowdStrike和谷歌子公司Mandiant也确认有多方组织参与。CrowdStrike的亚当·迈尔斯表示，最早可追溯至7月7日的攻击记录显示，初期攻击具有国家背景特征。目前攻击范围已扩大，其模式指向中国。他称CrowdStrike对此活动的调查仍在进行中。

微软于周末发布了首个补丁。在确认攻击者可利用该漏洞入侵文件系统并执行代码后，将陆续发布更多更新。

视频：针对Microsoft SharePoint的黑客攻击给数千家企业带来风险，科技巨头正紧急开发补丁。

罗德岛州教育部和立法机构的代表最初未予置评。佛罗里达州税务局证实调查正在进行中，但未透露所使用软件的具体细节。

彭博社查阅的一家安全公司报告列出了其他受影响机构，包括美国一家医疗健康服务提供商和东南亚一所大学。据知情人士透露，黑客还瞄准了巴西、加拿大、西班牙、印尼、南非、瑞士、英国和美国的系统，部分案例中窃取了用户名、密码、哈希码及令牌等登录凭证。

“这是一次极其严重且紧迫的威胁，“Palo Alto Networks旗下Unit 42威胁情报部门首席技术官Michael Sikorski表示。

来源：彭博社他特别指出：“SharePoint与微软平台（包括Teams、OneDrive和Outlook等服务）的深度集成尤其令人担忧，这些服务都包含对攻击者极具价值的信息。一旦得手，危害不会局限于单一区域——它将为入侵整个网络打开大门。”

据估计，全球有数万甚至数十万组织使用SharePoint来存储和协作编辑文档。微软表示，攻击者的目标主要是本地运营的服务器，而非微软托管的云解决方案，这可能限制了潜在受影响者的数量。

“这对勒索软件运营商来说是个梦想，”密歇根州网络安全公司Censys的研究员Silas Cutler说。他估计，超过10,000家使用SharePoint服务器的企业面临风险，主要集中在美国、荷兰、英国和加拿大。

这一安全漏洞引发了关于微软网络安全战略的新问题。该公司最近不得不应对多起高调攻击事件。微软已从美国政府等部门聘请高管，并每周与管理人员举行会议，以增强其软件的抵御能力。2024年美国政府的一份报告指出，该公司的安全文化需要改革。

视频：黑客利用微软常用软件中的安全漏洞入侵政府、企业和其他组织。Rosalind Mathieson对局势进行了分析。

为美国政府部门提供安全支持的互联网安全中心已识别出1,100多台受SharePoint安全漏洞影响的服务器，该机构的安全运营与情报副总裁Randy Rose表示。其中超过100台服务器被认为已遭受成功攻击。

据《华盛顿邮报》报道，该事件涉及美国的联邦和州政府机构、大学、能源公司以及一家亚洲电信公司。

Eye Security还警告称，攻击者成功入侵后可能窃取加密密钥以冒充用户或服务——即使在系统打补丁后。黑客可能通过后门或修改过的组件维持访问权限，这些组件能躲过系统更新和重启。

这些被命名为"ToolShell"的安全漏洞最初于5月由研究人员在柏林的一场网络安全会议上发现。7月初微软发布了修补程序来修复漏洞——但黑客又找到了新的入侵途径。

“存在绕过补丁的方法，“Eye Security首席黑客兼联合所有人Vaisha Bernard表示，“这使得这些攻击得以发生。“这些攻击并非针对性攻击，而是旨在尽可能多地入侵受害者。在对约8000台SharePoint服务器进行调查后，Bernard确认至少有50个系统被成功入侵——包括北美、南美、欧洲、南非和澳大利亚的政府机构和跨国公司。

他拒绝透露受攻击组织的具体名称，但表示其中包括政府机构、私营企业以及"大型跨国公司”。

文章原标题：微软称中国黑客利用SharePoint漏洞发起攻击(1)